Toon en de nieuwe Privacy wetgeving | Eneco Community
vraag

Toon en de nieuwe Privacy wetgeving


Reputatie 7
Badge +3
  • In een stroomversnelling (level 14)
  • 657 reacties
Tijdens de analyse van het netwerk verkeer van en naar een Toon is opgevallen dat iedere Toon lokaal verzamelde data naar externe servers opstuurt. Achteraf gezien gebeurt dit al vanaf versie 4.3.20 (april 2017). Dit gebeurt buiten het Eneco VPN om, dus voor alle Toons (zowel geroote Toons als standaard Toons). Er wordt data verstuurd naar twee domeinen (count.ly en eneco.bd.toon.eu).
Het eerste adres ontvangt per sessie onder andere de unieke id van de Toon (naar mij als individu te herleiden dus) plus alle schermen/apps en buttons die ik heb aangeklikt en hoelang ik in ieder scherm blijf.
Het tweede adres ontvangt berichten met daarin de unieke id van de Toon en wanneer hij opnieuw is opgestart (plus mogelijk meer maar dat heb ik niet kunnen zien).
In mijn optiek is dit in strijd met de geldende (nieuwe) privacy wetgeving.
Volgens de huidige nieuwe Privacy wetgeving moet, uiterlijk 72 uur nadat Eneco hier kennis van heeft genomen, Eneco dit melden aan de toezichthoudende autoriteit (Autoriteit Persoonsgegevens in Nederland), tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
In dit geval vind ik dat ik word beknot in mijn vrijheden, wetende dat er over mijn schouder wordt meegekeken en daardoor niet meer in vrijheid kan doen wat ik wil met het apparaat.
Ik wil hier dus bij deze melding van maken omdat ik nooit toestemming heb verleend voor het verzamelen van deze gegevens.

Ik heb persoonlijk vier bezwaren tegen het ongeautoriseerd verzamelen van mijn verbruiksstatistieken. Ten eerste vind ik niet dat Eneco hoeft te weten wat ik met de Toon doe, ook niet welke applicaties er zoal op mijn geroote Toon draaien en hoe vaak ik die gebruik.
Ten tweede kunnen er op langere termijn statistieken worden opgebouwd waarmee je kan voorspellen op welke tijdstippen er waarschijnlijk hier iemand thuis is of niet.
Ten derde gaan deze gegevens over het open internet zonder de veiligheid van het VPN. Eneco kan niet garanderen dat deze gegevens onderweg niet worden afgetapt of misbruikt door derden.
Ik heb Eneco nooit op enige wijze toestemming verleend tot het verzamelen en bewaren van deze informatie (ik heb geen contract getekend met Eneco, ik heb de Toons op Marktplaats gekocht dan wel gekregen van Eneco voor review (waarvoor nogmaals dank)).
Het argument dat Eneco niet kan weten wie een geroote Toon gebruikt gaat niet op in mijn geval. Mijn gegevens zijn bekend en hangen aan de Toon 2, het is een klein kunstje om ook de ander Toons op dit adres te achterhalen op basis van mijn WAN ip adres.
Vandaar deze melding van ongeoorloofde data verzameling.

Ik hoor graag de officiële reactie van Eneco op deze melding, het plan voor het stoppen van deze verzameldrift en informatie hoe ik de verzamelde data kan laten verwijderen.

Met vriendelijke groeten,
Toonz (adres bekend bij de redactie )

37 Reacties

Reputatie 7
Badge +3
@Folkert, dank voor de reactie. Duidelijk verhaal.
Paar opmerkingen nog: niet iedereen met een activatiecode wil een contract met Eneco. Zie ook andere topics waarbij mensen een tweedehands Toon overnemen, een huis kopen met een Toon reeds geinstalleerd of een Toon gewoon stand-alone willen gebruiken. Deze krijgen dus een activatiecode zonder contract dus zonder dat er akkoord is gegaan met de gebruiksvoorwaarden.

Als de Toon een geldige eindatum in de toekomst heeft gaat hij er gemakshalve maar van uit dat er een geldig contract aanwezig is. Deze aanname klopt niet bij gerootte Toons. Deze zullen dus standaard de gegevens doorsturen zonder dat de gebruiker hiermee akkoord is gegaan. Dit kan uiteraard worden uitgezet als je root toegang hebt, maar standaard staat het aan, wat niet strookt met de AVG. De huidige software in de Toon kan dus niet met zekerheid vaststellen of er daadwerkelijk een contract is tussen de gebruiker en Eneco.

Ik zal ook nog even checken of de dataverzameling inderdaad stopt als de einddatum van een contract is bereikt.

Met vriendelijke groeten,

Toonz
Reputatie 7
Badge +6
Alle Toons met een recente firmware sturen deze informatie standaard door.
Deze datastroom wordt standaard geactiveerd via /qmf/etc/qmf-tenant.xml zonder toestemming van de gebruiker. Dit zou m.i. standaard uit moeten staan tenzij er expliciet toestemming voor wordt gegeven door de gebruiker.


@Toonz

Allereerst excuses voor het late antwoord, zoals eerder aangegeven zijn we uiterst voorzichtig met wat we willen delen hierover en daarna willen we ook dat onze juridische mensen, het antwoord dat we willen geven, controleren. Door de nieuwe wetgeving hebben zij het erg druk en heb je lang op een antwoord moeten wachten, het is zeker niet onze opzet om het een en ander te vertragen.
Het bestand dat je aangeeft wordt gebruikt om de end-points te zetten voor deze specifieke display. Met een end-point wordt bedoeld de website of API waar mee gecommuniceerd moet worden. Voor een Eneco display zijn dit namelijk specifieke end-points. Dit staat verder los van het gebruik van deze end-points.

Het daadwerkelijk versturen van data wordt bepaald op basis van het contract met de klant. Heeft de klant een contract met Eneco voor Toon afgesloten, dan zal data gecollecteerd worden welke nodig is voor het uitvoeren van het contract.
Indien het contract wordt beëindigd zal er een eind datum in de Toon worden gelezen en wordt er geen data meer verzameld vanuit deze Toon. Dit is geheel conform de gebruiks- en privacy waarden met betrekking tot Toon.

Kortom: De koppeling tussen een display en een nieuwe klant wordt gemaakt op het moment dat op het display de activatiecode wordt ingevoerd. Dan wordt de klant gekoppeld aan het display. De klant krijgt de activatiecode als hij bij aankoop akkoord is gegaan met de algemene voorwaarden van Toon en Eneco en het bijbehorende privacy statement.
Reputatie 7
Badge +3
Hi @Toonz

Ik begrijp zeker dat we lang op ons laten wachten met een antwoord. We houden ons in ieder geval aan de AVG . Het is zo dat we bezig zijn om een antwoord te formuleren die voor iedereen helder is zodat we geen misverstanden krijgen. Ook gericht op de forumleden die niet actief zijn maar wel meelezen in de topics.

Groeten
Chantal

Hoi Chantal,

alvast dank voor de reactie die gaat komen. Ik geloof graag dat de dataverwerking en opslag prima voldoet aan de AVG. Mijn vraag is niet zozeer wat Eneco met deze gegevens doet.
Wat ik wel heel graag verduidelijkt wil zien is waarom Eneco nu continue datasets doorstuurt vanaf mijn Toon, informatie die direct aan mij is gekoppeld, zonder dat ik daar toestemming voor heb gegeven. Dit is de kern van de vraagstelling.
In mijn bescheiden optiek is dit simpelweg niet in overeenstemming met de AVG omdat expliciete toestemming nodig is van gebruikers om gegevens te mogen verzamelen.
Dus ben ik nog steeds erg benieuwd naar jullie reactie.

Alvast bedankt,

Toonz
Reputatie 6
Badge +1
@mAiden

Dankjewel, jij ook 🙂
Reputatie 7
Badge +8
Hi @Toonz

Ik begrijp zeker dat we lang op ons laten wachten met een antwoord. We houden ons in ieder geval aan de AVG . Het is zo dat we bezig zijn om een antwoord te formuleren die voor iedereen helder is zodat we geen misverstanden krijgen. Ook gericht op de forumleden die niet actief zijn maar wel meelezen in de topics.

Groeten
Chantal


Hey rockchick,

Dat is iets wat ik ook min of meer probeerde uit te leggen. Door te zeggen dat Eneco wel met en reactie komt.

Geniet van de zon. Zolang die er nog is. ?
Reputatie 6
Badge +1
Hi @Toonz

Ik begrijp zeker dat we lang op ons laten wachten met een antwoord. We houden ons in ieder geval aan de AVG . Het is zo dat we bezig zijn om een antwoord te formuleren die voor iedereen helder is zodat we geen misverstanden krijgen. Ook gericht op de forumleden die niet actief zijn maar wel meelezen in de topics.

Groeten
Chantal
Reputatie 5
Badge
Het is niet zozeer een kwestie van recht zoeken. Ik snap dat veel bedrijven aan GDPR moeten wennen (ook al hebben ze daar al ruim twee jaar de tijd voor gehad).
Het is meer een kwestie van hoe ga je hier als volwassen organisatie mee om, en daarin heeft Eneco mij in ieder geval totaal niet overtuigd tot nu toe. Ik draag het bedrijf een warm hart toe als klant, begrijp me niet verkeerd, maar ze moeten hier wel iets mee doen.


Mee eens. Nog steeds is er niet uitgelegd waarom de knop in de menu instellingen voor het wel of niet versturen van deze data niet gewoon gebruikt wordt. Dit is een kwestie van een kleine software wijziging en naar mijn idee verplicht vanwege GDPR.

Uiteraard gaat dit wel ten kostte van de betrouwbaarheid van hun big data energiebesparings intelligentie. Als ineens iedereen toestemming moet geven voor het gebruik van zijn data dan komt er wellicht veel te weinig data binnen om hierin nauwkeurig te zijn.
Reputatie 7
Badge +3
Het is niet zozeer een kwestie van recht zoeken. Ik snap dat veel bedrijven aan GDPR moeten wennen (ook al hebben ze daar al ruim twee jaar de tijd voor gehad).
Het is meer een kwestie van hoe ga je hier als volwassen organisatie mee om, en daarin heeft Eneco mij in ieder geval totaal niet overtuigd tot nu toe. Ik draag het bedrijf een warm hart toe als klant, begrijp me niet verkeerd, maar ze moeten hier wel iets mee doen.
Reputatie 7
Badge +8
Dat is je goed recht Toonz, vooral je recht zoeken waar je het heb.
Reputatie 7
Badge +3
@mAiden, @Commandeur,

Ik heb hier inderdaad al melding van gemaakt bij de Autoriteit Persoonsgegevens. Ik heb lang gewacht tot er een fatsoenlijk antwoord kwam maar dat is tot op heden niet gekomen.
De nieuwe wetgeving is twee jaar geleden al aangekondigd met ingangsdatum 25 mei 2018. Na (!!) deze aankondiging is pas deze functionaliteit ingebouwd om ongevraagd data te verzamelen, wat het nog wat zuurder maakt voor Quby/Eneco.

Ontkennen heeft niet veel zin dus hoe makkelijk kan een antwoord zijn in de trend van: "excuses dat deze functionaliteit ongemerkt in onze software is geslopen. We hebben de dataverzameling tijdelijk gestopt aan de serverkant en alle tot nu toe verzamelde gegevens hebben we vernietigd. In een nieuwe release zullen we een opt-in optie inbouwen en weer data gaan verzamelen".

Blijven zwijgen is volgens mij de slechtst mogelijke response....

Met vriendelijke groeten,

Toonz
Reputatie 7
Badge +8
Geduld heb ik wel, we zijn alweer bijna een week verder 😉

Misschien rennen ze wat harder bij Eneco wanneer je melding gaat maken bij de ''autoriteit persoonsgegevens''. Deze kunnen een behoorlijke boete uitschrijven......


Op grond waarvan? Nieuwe privacy wetgeving is nieuw. Geef mensen de tijd om met een fatsoenlijk antwoord te komen.


Deze wetgeving is al heel lang aangekondigd maar pas sinds kort effectief. Dus nee, je kan niet roepen dat je te weinig tijd had om te reageren. Quby heeft vast allang nagedacht over de gevolgen van hun data-verzameling en beoordeeld dat het geen invloed heeft op de AVG. Maar, zoals blijkt uit de netwerk dumps, is het duidelijk dat er 'naar gebruiker afleidbare data' verstuurd wordt zonder dat er toestemming voor is gegeven.

Ik begrijp dan ook niet dat Quby niet gewoon de optie die er in de Toon instellingen menu zit voor gebruikt om de data wel of niet te sturen. Dit is precies wat de AVG bedoeld te bereiken. Niks versturen (ook al is het discutabel) tenzij de eindgebruiker akkoord er mee is.


Aangekondigd inderdaad, niet actief. Hij is pas sinds 25 mei 2018 actief. Vanaf dat moment hoefde je er ook pas naar te handelen. Indien je bezwaar heeft, kan je een bezwaar schrift indienen bij een organisatie tegen het verwerken van zijn persoonsgegevens vanwege zijn bijzondere persoonlijke omstandigheden (artikel 21, lid 1 AVG)? Dan moet de organisatie stoppen met deze gegevens te verwerken.

Tenzij de organisatie dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene. Zo lang nog niet duidelijk is of de gronden van de organisatie zwaarder wegen, mag de organisatie de gegevens niet verwerken.
Reputatie 5
Badge
Geduld heb ik wel, we zijn alweer bijna een week verder 😉

Misschien rennen ze wat harder bij Eneco wanneer je melding gaat maken bij de ''autoriteit persoonsgegevens''. Deze kunnen een behoorlijke boete uitschrijven......


Op grond waarvan? Nieuwe privacy wetgeving is nieuw. Geef mensen de tijd om met een fatsoenlijk antwoord te komen.


Deze wetgeving is al heel lang aangekondigd maar pas sinds kort effectief. Dus nee, je kan niet roepen dat je te weinig tijd had om te reageren. Quby heeft vast allang nagedacht over de gevolgen van hun data-verzameling en beoordeeld dat het geen invloed heeft op de AVG. Maar, zoals blijkt uit de netwerk dumps, is het duidelijk dat er 'naar gebruiker afleidbare data' verstuurd wordt zonder dat er toestemming voor is gegeven.

Ik begrijp dan ook niet dat Quby niet gewoon de optie die er in de Toon instellingen menu zit voor gebruikt om de data wel of niet te sturen. Dit is precies wat de AVG bedoeld te bereiken. Niks versturen (ook al is het discutabel) tenzij de eindgebruiker akkoord er mee is.
Reputatie 7
Badge +8
Geduld heb ik wel, we zijn alweer bijna een week verder 😉

Misschien rennen ze wat harder bij Eneco wanneer je melding gaat maken bij de ''autoriteit persoonsgegevens''. Deze kunnen een behoorlijke boete uitschrijven......


Op grond waarvan? Nieuwe privacy wetgeving is nieuw. Geef mensen de tijd om met een fatsoenlijk antwoord te komen.
Geduld heb ik wel, we zijn alweer bijna een week verder 😉

Misschien rennen ze wat harder bij Eneco wanneer je melding gaat maken bij de ''autoriteit persoonsgegevens''. Deze kunnen een behoorlijke boete uitschrijven......
Reputatie 7
Badge +3
Geduld heb ik wel, we zijn alweer bijna een week verder 😉
Reputatie 5
Badge +1
@Toonz

Op jouw laatste vraag ontvang je snel een reactie. Bedankt alvast voor je geduld.
Reputatie 7
Badge +3
@Folkert laat ik het dan anders formuleren: ik maak bij deze nogmaals formeel melding van het ongeoorloofd doorsturen van informatie vanuit de Toon naar Eneco servers zonder dat ik daar toestemming voor heb gegeven. Dit is simpel een duidelijke overtreding van de AVG ongeacht welke privacystatement van Eneco dan ook. Ik kan dit simpel aantonen met een dump van het TCP/IP verkeer naar Eneco op mijn router waarin ook het unieke serienummer van mijn Toon te zien is welke gekoppeld is aan mij als persoon.
Graag een reactie op bovenstaand statement (dat moet geen probleem zijn omdat de veiligheid van andere klanten niet in het geding is bij het beantwoorden hiervan).

Met vriendelijke groeten,

Toonz


Ik ben nog steeds benieuwd naar de reactie van Eneco....
Reputatie 7
Badge +3
Alle Toons met een recente firmware sturen deze informatie standaard door.
Deze datastroom wordt standaard geactiveerd via /qmf/etc/qmf-tenant.xml zonder toestemming van de gebruiker. Dit zou m.i. standaard uit moeten staan tenzij er expliciet toestemming voor wordt gegeven door de gebruiker.
Reputatie 7
Badge +6
@Toonz

Gaat het om de Toon die je nu gebruikt, waarbij de abonnement functies zijn aangezet om te testen, of om een andere Toon? Dit is mij nu niet geheel duidelijk.
Reputatie 7
Badge +3
@Folkert laat ik het dan anders formuleren: ik maak bij deze nogmaals formeel melding van het ongeoorloofd doorsturen van informatie vanuit de Toon naar Eneco servers zonder dat ik daar toestemming voor heb gegeven. Dit is simpel een duidelijke overtreding van de AVG ongeacht welke privacystatement van Eneco dan ook. Ik kan dit simpel aantonen met een dump van het TCP/IP verkeer naar Eneco op mijn router waarin ook het unieke serienummer van mijn Toon te zien is welke gekoppeld is aan mij als persoon.
Graag een reactie op bovenstaand statement (dat moet geen probleem zijn omdat de veiligheid van andere klanten niet in het geding is bij het beantwoorden hiervan).

Met vriendelijke groeten,

Toonz
Reputatie 7
Badge +3
@Folkert dank voor de reactie, niet echt een bevredigend antwoord moet ik zeggen. Ik kan Eneco wel vragen mijn gegevens te verwijderen maar op hetzelfde moment gaat het verzamelen van de gegevens gewoon door, dat heeft dus geen zin.
Feit blijft dat er zonder toestemming gevens worden verzameld (wat in strijd is met de AVG). Deze nogal verkrampte reactie van Eneco gaat hier ook helemaal niet op in (of tegen in).
Laat dan de autorititeit Persoonsgegevens hier maar een uitspraak over doen.

Met vriendelijke groeten,

Toonz
Reputatie 7
Badge +6
@Toonz

Eneco vindt je privacy belangrijk. Je persoonsgegevens worden daarom zorgvuldig verwerkt en beveiligd. Wij hebben intern hierover overlegd en besloten dat we geen antwoorden geven op de door jouw gestelde vragen. De manier waarop wij omgaan met de beveiliging van de gegevens van onze gebruikers delen wij niet, dit om de veiligheid van al onze klanten te waarborgen. We houden ons bij het verwerken van persoonsgegevens aan de Algemene Verordening Gegevensbescherming en overige privacywetgeving. Hiervoor heeft Eneco Groep haar privacystatement opgesteld. Aanvullend daarop is er een privacystatement voor Toon dienstverlening. Deze zijn te vinden op eneco.nl/voorwaarden.

Als je van mening bent dat je gegevens niet juist zijn of dat Eneco je gegevens niet mag verwerken, dan kan je Eneco verzoeken om je gegevens te wijzigen of te verwijderen. Eneco laat je binnen vier weken weten in hoeverre Eneco aan je verzoek kan voldoen. Voordat een dergelijk verzoek in behandeling wordt genomen, kan Eneco een legitimatie aan je vragen. Stuur je verzoek aan Toon@eneco.nl
Reputatie 6
Badge
@Toonz

Gelijk heb je 😉 ! Om precies te zijn verwachten wij deze week nog een reactie te plaatsen op de vragen die je hebt gesteld. Have un petit peu more patience for us 😜 🙏🏾
Reputatie 7
Badge +3
Even een vriendelijke reminder, we zijn alweer bijna een week verder..... Zo moeilijk zijn de vragen toch niet 😉?
Reputatie 5
Badge
@Toonz

We zijn er nog hard mee bezig, dus we zijn jullie niet vergeten hoor.

Als ik meer informatie hebt, laat ik het weten.

Groet,
Mitchel

Reageer

    Cookiebeleid

    Wij gebruiken cookies om uw bezoekers ervaring te verbeteren en te personaliseren. Ga je akkoord, of ga je door op de website dan ga je akkoord met ons cookiebeleid. Meer informatie.

    Accepteren Cookie instellingen